h3csecblade混合插卡组网培训

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

21
OAA配置举例:
单块插卡OAA三层转发应用场景
interface VLAN-interface2 ip address 172.16.160.250 255.255.255.0
interface VLAN-interface1001 ip address 172.16.161.30 255.255.255.224
包头
协议
数据内容
Internet
防火墙
IPS
内部网络 14
03 SecBlade ACG插卡
H3C SecPath ACG(Application Control Gateway)是业界识别最 全面、控制手段最丰富的高性能应用控制网关,能对网络中的P2P/IM 带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精 细化识别和控制;同时,根据对网络流量、用户行为进行深入分析,可 以帮助用户全面了解网络应用模型和流量趋势,为开展各项业务提供数 据支撑。 H3C ACG系列包括SecPath ACG 2000-M、SecPath ACG8800-S3 和应用于H3C S75E/S95/S95E系列交换机的SecBlade ACG模块。
动作和动作集
18
部署概念(3)
安全区域、段和策略的关系
Segment
WAN
PORT
Policy PORT
Policy
Zone A Zone B
Policy
INTERNAL
19
SecBlade IPS/ACG插卡工作方式
SecBlade插卡与交换机背板相连,有 两种工作方式:Ethernet、Hig方式。
SecBladeII FW、SSL VPN、LB都工作在 Ethernet方式下,而IPS和ACG插卡则工作 在Hig方式下, Ethernet方式下的插卡,可 以通过二、三层转发接收报文。Hig方式下 的插卡只能通过重定向转发接收报文。
重定向报文的两种方法:OAA和重定向。 其中,OAA是我司自主开发的开放应用框 架协议,S75E/S95E/S58都采用OAA的方 式和母体互联;而重定向是S95上板卡的工 作方式,S95通过重定向的方式将报文送到 IPS/ACG插卡处理。
10
防火墙部署—三层转发
4
Vlan 100
FTP client
3
1.1.1.2 1
2 access Vlan 100
Swtich板
交换 处理
背板
5 10GE
8
9
入方向: 1->6:二层转发 6->7:三层转发 7->12:二层转发
出方向: 12->7:二层转发 7->6:三层转发 6>1:二层转发
注:灰色标记部分为S5800插卡数据
2
H3C业务插卡配套关系
插卡 FW
产品
IPS LB
SR88 ●
SR66 ●
ACG
SSL VPN
NetStream AFC
S95E ● ● ● ●

S95
● ●●●


S75E ● ● ● ●



S58
● ●●

3
插卡类型
插卡式的H3C SecBladeII FW系列单板类型:
出方向: 12->9:二层转发 9->8:三层转发 8->7:二层转发 7->6:二层转发 6->1:二层转发
Vlan 100 Vlan 101
6
10GE Vlan 1000
FW
7
Vlan 200
10
FTP Server
11 Access Vlan 200
12 2.2.2.2
Swtich板
2-2-2方式
适用于H3C S7500E NetStream业务板
LSRM1NSM1A1
适用于H3C S9500E NetStream业务板
LSWM1NSM10
适用于H3C S5800系列Net源自tream业务板6使用版本
SecBlade插卡可以在部门FTP相应目录:
/New_Internal_Versions(新内部版本归档)/02-IP安全产品/xxxx 获取的最新版本开局版本,每个插卡版本都会附带版本配套表, 里面会列出和母体配套的版本,请在实施时获取。
17对用户上网行为进行深入分析识别出相关应用采取阻断限流干扰过滤警告等控制手段通过采集相关访问信息实现事后行为审计行为识别行为控制行为审计acg实现目标18部署概念1vlanid策略网络配置ip地址方向19部署概念2特征启用状态动作集安全区域段和策略的关系wandmzwwwinternalsegmentzonepolicypolicypolicypolicypolicypolicyportportportportzone21secbladeipsacg插卡工作方式secblade插卡与交换机背板相连有两种工作方式
Vlan 100 Vlan 200
Vlan 200
VIF100 1.1.1.1 6
10GE
FW
7
VIF 200 2.2.2.1
10
FTP Server
11 Access Vlan 200
12 2.2.2.2
Swtich板
2-3-2方式
11
防火墙部署—三层转发2
4
Vlan 100
FTP client
适用于H3C S5800负载均衡业务板
4
插卡类型-续1
插卡式的H3C SecBlade IPS系列单板类型: LSWM1IPS10 适用于H3C S5800/S5820X系列交换机; LSQ1IPSSC0 适用于H3C S7500E系列以太网交换机; LSB1IPS1A0 适用于H3C S9500系列以太网交换机; LSR1IPS1A1 适用于H3C S9500E系列以太网交换机。
6
10GE Vlan 1000
FW
7
VIF101 172.16.1.1/30
10
FTP Server
11 Access Vlan 200
12 2.2.2.2
Swtich板
答案:这个一般真没有!
13
02 SecBlade IPS插卡
IPS(Intrusion Prevention System,入侵防御系统),是一种基 于应用层、主动防御的产品,它以在线方式部署于网络关键路径 ,通过对数据报文的深度检测,实时发现威胁并主动进行处理。 目前已成为应用层安全防护的主流设备。
3
1.1.1.2 1
2 access Vlan 100
Swtich板
交换 处理
背板
5 10GE
8 VIF101 172.16.1.2/30
VIF 200 2.2.2.1 9
入方向: 1->6:二层转发 6->7:三层转发 7->8:二层转发 8->9:三层转发 9->12:二层转发
出方向: 12->9:二层转发 9->8:三层转发 8->7:二层转发 7->6:三层转发 6->1:二层转发
New
9
防火墙部署—透明模式
4
Vlan 100
FTP client
3
1.1.1.2 1
2 access Vlan 100
Swtich板
交换 处理
背板
5 10GE
8 VIF101 1.1.1.1
VIF 200 2.2.2.1 9
入方向: 1->6:二层转发 6->7:二层转发 7->8:二层转发 8->9:三层转发 9->12:二层转发
interface VLAN-interface1002 ip address 172.16.161.62 255.255.255.224
interface VLAN-interface1003 ip address 172.16.164.1 255.255.255.0
22
01 S9500E OAA相关配置
产品配套项目
版本号(对外)
说明
主控板软件
SecBladeIPS-IMW110-E2107
内部版本 9011V200R001 B01D105
升级后BOOTWARE V108
CPLD 75E配套版本 95配套版本 95E配套版本 SecCenter版本 iMC
200 S7500E-CMW520-F6307L03 S9500-CMW310-R1646-EI S9500E-CMW520-B1136 SecCenter IPSM V2.10-B0022 iMC PLAT 3.20-R2602 + P04
LSRM1FW2A1 适用于H3C S9500E 防火墙业务板
LSBM1FW2A1 适用于H3C S9500 防火墙业务板
LSQM1FWBSC0 适用于H3C S7500E 防火墙业务板模块
LSWM1FW10
适用于H3C S5800 系列防火墙模块
RT-SPE-FWM-H3 适用于H3C SR6600 千兆防火墙业务板模块
4
Vlan 100
FTP client
3
1.1.1.2 1
2 access Vlan 100
Swtich板
交换 处理
VIF100 172.16.0.2/30
5 10GE
8 VIF101 172.16.1.2/30
VIF 200 2.2.2.1 9
Vlan 100 Vlan 101 Vlan 200
VIF100 172.16.0.1/30
插卡式的H3C SecBlade ACG系列单板类型: LSQ1ACGASC0 适用于H3C S7500E系列以太网交换机; LSB1ACG1A0 适用于H3C S9500系列以太网交换机; LSR1ACG1A1 适用于H3C S9500E系列以太网交换机。
5
插卡类型-续2
插卡式的H3C SecBlade SSL VPN系列单板类型:
H3C SecBlade 混合插卡组网
日期:2021/3/17 密级: 杭州华三通信技术有限公司
安全产品组 巫继雨
1、SecBladeIPS/ACG插卡硬件外观和软件适配 2、SecBlade插卡基本概念和工作方式 3、SecBlade FW+IPS/ACG插卡混插方案 4、SecBlade FW+IPS+ACG插卡混插方案 5、常见问题
20
OAA基本流程图
报文流 报文入接口
ACFP Server 连接ACFP Client
的接口
连接ACFP server 的接口
ACFP Client
报文 转发 出接

红色线条为报 文重流
插卡
交换机重定向报文的方 向性
交换机只能对入方向的 报文进行重定向。入方 向,是指报文相对与交 换机背板而言。
7
1、SecBladeIPS/ACG插卡硬件外观和软件适配 2、SecBlade插卡基本概念和工作方式 3、SecBlade FW+IPS/ACG插卡混插方案 4、SecBlade FW+IPS+ACG插卡混插方案 5、常见问题
8
01 SecBladeII FW插卡
SecBladeII防火墙插卡是我司防火墙的旗舰级产品,其硬件上采用了 多核技术,处理核心是目前处理能力最强大的嵌入式处理器之一—— RMI的力作XLR 732。高端防火墙的软件,采用了我司最新的 COMWARE V5平台(V5R2),配合精心构架的底层驱动,能够充分地 发挥多核的优势。
IM-FW
适用于H3C SR8800防火墙业务处理板
插卡式的H3C SecBlade LB系列单板类型:
LSQM1LBSC0 适用于H3C S7500E-千兆负载均衡业务模块
LSRM1LB1A1
适用于H3C S9500E-负载均衡业务板
LSBM1LB1A1
适用于H3C S9500-负载均衡业务板
LSWM1LB10
Vlan 100 Vlan 101
VIF100 1.1.1.1
6
10GE Vlan 1000
FW
7
VIF101 172.16.1.1/30
Vlan 200
10
FTP Server
这是什么方式?
11 Access Vlan 200
12 2.2.2.2
Swtich板
也是2-3-2方式
12
有没有这种方式
1
硬件外观
2GB DDR2内存
CF卡
Console 2GE电口
2GE Combo
Console CF卡
接口
1个Console接口 1个CF卡接口,支持容量为256M、512M、1G的CF卡 2个USB接口(预留) 2个10/100/1000BASE-T电接口 2个千兆Combo(光电复合)接口 后插板10GE接口
15
ACG实现目标
行为识别
行为审计
Internet
防火墙
行为控制 VLAN2
S9500E
XGE3/0/1 SecBlade IPS
VLAN1001
内网1
VLAN1002 …… VLAN100n
内网2
内网n
对用户上网行为进 行深入分析,识别 出相关应用
通过采集相关访问 信息,实现事后行 为审计
采取阻断、限流、 干扰、过滤、警告 等控制手段
16
部署概念(1)
安全区域和段
安全区域是一个物理/网络上的概念(特定的物理端口 + VLAN ID) 段可以看作是连接两个安全区域的一个透明网桥 策略被应用在特定的段上。 段 + 策略 + 网络配置 (IP地址、方向)
17
部署概念(2)
特征、规则和策略
特征定义了一组检测因子来决定如何对当前网络中的流量进行检测 规则的范畴比特征要广。规则 = 特征 + 启用状态 + 动作集 策略是一个包含了多条规则的集合
LSQM1SSLSC0
适用于H3C S7500E-SSL VPN业务模块
LSBM1SSL1A1
适用于H3C S9500 SSL VPN业务板模块
RT-SPE-SSL-H3
适用于H3C SR6600 SSL VPN模块
插卡式的H3C SecBlade NetStream系列单板类型:
LSQM1NSMSC0
相关文档
最新文档